#news У HackerOne случилась небольшая драма вокруг, конечно же, ИИ. В конце января платформа представила агентный PTaaS — за неблагозвучным названием скрывается Pentest-as-a-Service. И кожаных мешков ожидаемо начало трясти.
В промо указано, что агенты натасканы на годах реального тестирования энтерпрайз-систем. У багхантеров возник закономерный вопрос: а данные-то откуда? Решили, что с их собственных репортов, и понеслось: “Мы буквально обучаем свою замену” — это уже классика. И вплоть до зловещего: “Когда белошляпочник чувствует, что система против него, гнев и стремление выжить тянут его на тёмную сторону”.Good, Anakin, good… Оставшиеся без работы багхантеры уходят в даркнет, и им противостоит ИИ, запитанный от их отчётов — как вам такой киберпанк? В итоге H1 выпустила на публику CEO, и та заверила, что репорты LLM’кам не скармливали, это вам подспорье, а не замена. Но вопрос остаётся открытым: откуда данные для обучения, Кара?
@tomhunter
В промо указано, что агенты натасканы на годах реального тестирования энтерпрайз-систем. У багхантеров возник закономерный вопрос: а данные-то откуда? Решили, что с их собственных репортов, и понеслось: “Мы буквально обучаем свою замену” — это уже классика. И вплоть до зловещего: “Когда белошляпочник чувствует, что система против него, гнев и стремление выжить тянут его на тёмную сторону”.
@tomhunter
😁14👍5🤬1
#news Самая американская новость недели: США планируют запустить госсайт для обхода блокировок в Европе и других злачных местах. А хоститься он будет, конечно же, по адресу freedom точка gov.
Сайт призван дать европейским народам, чахнущим под гнетом своих авторитарных правительств, неограниченный доступ к информации, заблокированной на родине. На самом сайте заглушка с пиксельным ковбоем, скачущим навстречу свободе, и надписью “Freedom is coming”. Потому что это Америка, детка! По технической стороне деталей особо нет, что-то с функциональностью VPN на минималках. Mullvad на стероидах от страны свободных для всех желающих, чтобы никто не ушёл обиженным, ждать не стоит — больше похоже на минутный пиар-проект и ухмылку в адрес европейских регуляторов. Но в копилку историй “Идиократия не задумывалась как документалка” пойдёт. Чувствуете этот воздух? Это воздух свободы! O say, can you see...
@tomhunter
Сайт призван дать европейским народам, чахнущим под гнетом своих авторитарных правительств, неограниченный доступ к информации, заблокированной на родине. На самом сайте заглушка с пиксельным ковбоем, скачущим навстречу свободе, и надписью “Freedom is coming”. Потому что это Америка, детка! По технической стороне деталей особо нет, что-то с функциональностью VPN на минималках. Mullvad на стероидах от страны свободных для всех желающих, чтобы никто не ушёл обиженным, ждать не стоит — больше похоже на минутный пиар-проект и ухмылку в адрес европейских регуляторов. Но в копилку историй “Идиократия не задумывалась как документалка” пойдёт. Чувствуете этот воздух? Это воздух свободы! O say, can you see...
@tomhunter
😁12❤1🔥1🤡1
#news Copilot начал подтягивать конфиденциальные имейлы у корпоративных клиентов. Самая прорывная фича десятилетия внезапно получила доступ к письмам, к которым его быть не должно, и взялась обобщать в своём чатике. В Microsoft говорят, это баг с небольшим охватом.
Проблема возникла под конец января: имейлы, обвешанные ярлыками “конфиденциально”, начали всплывать в чатах с Copilot. Доступ к ним у ИИ-ассистентов должен быть закрыт, и DLP как бы для того в системах и настроена — если бы Copilot умел читать, его бы это очень расстроило. Вендор с каменным лицом делает вид, что ничего не произошло, и это просто мелкая ошибка в коде. А в это время по пиар- и юр-отделам и прочим корпокоммам сидят и молятся, чтобы новость тихонько затерялась в повседневном шуме и не попала в условный Reuters и на стол к регуляторам. Починили, по минимуму признали, улыбаемся и машем — мастер-класс реакции на баг в продуктах с дурной славой от Microsoft.
@tomhunter
Проблема возникла под конец января: имейлы, обвешанные ярлыками “конфиденциально”, начали всплывать в чатах с Copilot. Доступ к ним у ИИ-ассистентов должен быть закрыт, и DLP как бы для того в системах и настроена — если бы Copilot умел читать, его бы это очень расстроило. Вендор с каменным лицом делает вид, что ничего не произошло, и это просто мелкая ошибка в коде. А в это время по пиар- и юр-отделам и прочим корпокоммам сидят и молятся, чтобы новость тихонько затерялась в повседневном шуме и не попала в условный Reuters и на стол к регуляторам. Починили, по минимуму признали, улыбаемся и машем — мастер-класс реакции на баг в продуктах с дурной славой от Microsoft.
@tomhunter
😁7🤡2🤬1
#news В США осудили украинца Александра Диденко за участие в схеме, обеспечивавшей северокорейцев липовыми идентичностями для работы на Западе. Цена вопроса: 5 лет тюремного срока и ~$1,4 миллиона нажитого преступным путём.
Операция была масштабной: в ходе неё Диденко предоставил ~900 идентичностей, через которые IT-солдаты устроились в 40 компаний в США. Также он курировал работу минимум восьми ферм ноутбуков в США, Польше и Украине. Что интересно, звено пониже в этой хитрой схемке — Кристина Чампан, державшая одну из ферм — уехала на 8,5 лет. С оглядкой на судебную систему США, можно предположить, что Диденко сразу сдал с потрохами всех коллег и вышел на удачную сделку со следствием. В пресс-релизе Минюста об этом напрямую не сказано, но в целом в Штатах быть пойманным главарём банды, пока остальные на свободе — большая удача. А там немного смекалочки, и вот уже 20 лет превращаются в 5.
@tomhunter
Операция была масштабной: в ходе неё Диденко предоставил ~900 идентичностей, через которые IT-солдаты устроились в 40 компаний в США. Также он курировал работу минимум восьми ферм ноутбуков в США, Польше и Украине. Что интересно, звено пониже в этой хитрой схемке — Кристина Чампан, державшая одну из ферм — уехала на 8,5 лет. С оглядкой на судебную систему США, можно предположить, что Диденко сразу сдал с потрохами всех коллег и вышел на удачную сделку со следствием. В пресс-релизе Минюста об этом напрямую не сказано, но в целом в Штатах быть пойманным главарём банды, пока остальные на свободе — большая удача. А там немного смекалочки, и вот уже 20 лет превращаются в 5.
@tomhunter
😁13🫡2🔥1
#news Не только в КНДР водятся IT-солдаты: двух бывших инженеров Google судят за промышленный шпионаж и передачу данных в Иран. Зачем инженерам Гугла выводить корпоративные секреты в Иран? Так они сами иранцы.
Впрочем, Иран как бенефициар в деле не назван — пока идёт как сговор отдельных индивидов. Обвинения предъявлены двум сёстрам из Google и мужу одной из них: сёстры успели поработать в техгиганте, а затем в неназванной компании, в третьей работал муж — все в разработке мобильных процессоров. Там стянули сотни конфиденциальных документов по защите и криптографии, которые затем вывели на родину. Попутно они врали и изворачивались как могли, подписывая многочисленные аффидевиты, заверяя, что ничего не крали,честное ксировское. И хотя кейс пока чисто криминальный, иранцы в западной айтишечке после таких заголовков косых взглядов, конечно, нахватают.
@tomhunter
Впрочем, Иран как бенефициар в деле не назван — пока идёт как сговор отдельных индивидов. Обвинения предъявлены двум сёстрам из Google и мужу одной из них: сёстры успели поработать в техгиганте, а затем в неназванной компании, в третьей работал муж — все в разработке мобильных процессоров. Там стянули сотни конфиденциальных документов по защите и криптографии, которые затем вывели на родину. Попутно они врали и изворачивались как могли, подписывая многочисленные аффидевиты, заверяя, что ничего не крали,
@tomhunter
👍4🔥3❤2
#news Пятничные новости технологического суверенитета, но из ЕС. Один энтузиаст решил поднять свой стартап целиком на европейской инфре, и это ВНЕЗАПНО оказалось не так просто. Но в итоге стак собран, запросов за океан по минимуму, прощайте, немытые янки — вот это всё. Подробности в блоге.
Вместо одного клика в AWS у него, конечно, селф-хост: времени ушло до черта, зато всё хостится дома, и данные лежат известно где. Но не обошлось и без проблем: найти нормального почтового провайдера затруднительно и дорого, покупать TLD через регистраторов в ЕС ещё дороже, и по GitHub’у очень скучает. А чего-то не избежать: рекламы от Google и партнёрки от App Store, а также логинов через них для юзеров — приходится через костыли, плюс локальных ИИ не завезли. Ну и в целом всё бедненько и худенько, вариантов меньше, возни больше. Зато своё, родное! В общем, читается на удивление знакомо. Разве что у этого эксперименты над собой исключительно добровольные.
@tomhunter
Вместо одного клика в AWS у него, конечно, селф-хост: времени ушло до черта, зато всё хостится дома, и данные лежат известно где. Но не обошлось и без проблем: найти нормального почтового провайдера затруднительно и дорого, покупать TLD через регистраторов в ЕС ещё дороже, и по GitHub’у очень скучает. А чего-то не избежать: рекламы от Google и партнёрки от App Store, а также логинов через них для юзеров — приходится через костыли, плюс локальных ИИ не завезли. Ну и в целом всё бедненько и худенько, вариантов меньше, возни больше. Зато своё, родное! В общем, читается на удивление знакомо. Разве что у этого эксперименты над собой исключительно добровольные.
@tomhunter
😁7🔥2
#news В новую неделю с новыми фингерпринтами от предустановленных приложений: погодное от Samsung стучит по API The Weather Company и отправляет placeid с выбранными городами. В небольшой выборке из 42 телефонов 96,4% уникальных.
С этих 42 устройств за пять дней ушли 9,211 запросов — два-три города в списке, и у нас конкретный отпечаток. При этом placeid привязан к локациям, а не подключениям, так что идентификатор не зависит от соединения. Плюс в приложении захардкоженные ключи, и стучит оно без интеракции от юзера — у одного в фоне шло >400 запросов в день. Вектор не новый, и The Weather Company не раз светилась в сборе и перепродаже локаций — зарабатывают как могут, понимать надо. В сухом остатке напоминание о цене “бесплатных” приложений — здесь платят фингерпринтом. Но огоньку добавляет, что это Samsung, а не сумрачный китайский вендор и прочее ловящее на парковке. Да и сносить предустановленное обычный юзер-то пока не приучен.
@tomhunter
С этих 42 устройств за пять дней ушли 9,211 запросов — два-три города в списке, и у нас конкретный отпечаток. При этом placeid привязан к локациям, а не подключениям, так что идентификатор не зависит от соединения. Плюс в приложении захардкоженные ключи, и стучит оно без интеракции от юзера — у одного в фоне шло >400 запросов в день. Вектор не новый, и The Weather Company не раз светилась в сборе и перепродаже локаций — зарабатывают как могут, понимать надо. В сухом остатке напоминание о цене “бесплатных” приложений — здесь платят фингерпринтом. Но огоньку добавляет, что это Samsung, а не сумрачный китайский вендор и прочее ловящее на парковке. Да и сносить предустановленное обычный юзер-то пока не приучен.
@tomhunter
🔥5😁3
#news Microsoft запоздало, но со всей настойчивостью рекомендует компаниям не совать OpenClaw в прод. Говорят, вскрылась суровая реальность: с безопасностью у него туговато. “Ограниченные встроенные методы защиты" на корпоративном.
Рекомендации подоспели вскоре после того, как в сети всплыло шестизначное число инстансов c минимальной защитой и без патчей. На фоне этого Microsoft считает важным сообщить: автономные агенты на ваших рабочих станциях с доступом ко всему и вся — это не лучшая затея. Креды и данные стянут, память могут отравить, а хост — снабдить вредоносным кодом. Один залётный “навык” или инструкция, и системы скомпрометированы на всю глубину проникновения ИИ-агента. В Microsoft оценили перспективы и в выражениях не стесняются: запускайте только на виртуалках и рассматривайте его как источник RCE с постоянным доступом. Убережёт ли это сотни тысяч энтузиастов ИИ? Узнаем в следующем выпуске шоу “LLM’ки и я”.
@tomhunter
Рекомендации подоспели вскоре после того, как в сети всплыло шестизначное число инстансов c минимальной защитой и без патчей. На фоне этого Microsoft считает важным сообщить: автономные агенты на ваших рабочих станциях с доступом ко всему и вся — это не лучшая затея. Креды и данные стянут, память могут отравить, а хост — снабдить вредоносным кодом. Один залётный “навык” или инструкция, и системы скомпрометированы на всю глубину проникновения ИИ-агента. В Microsoft оценили перспективы и в выражениях не стесняются: запускайте только на виртуалках и рассматривайте его как источник RCE с постоянным доступом. Убережёт ли это сотни тысяч энтузиастов ИИ? Узнаем в следующем выпуске шоу “LLM’ки и я”.
@tomhunter
😁12🤡4
#news Техдиректор Microsoft Azure Марк Руссинович с коллегой выпустили статью с предупреждением сообществу разработчиков о ИИ. Проблема прозаичная, но насущная: ИИ-долгоносик пришёл за джунами и может вскоре закрыть вход в профессию. Об этом же в подкасте.
Проблема в асимметрии: пока опытный разраб с помощью ИИ-модели получает буст, у начинающего стопорится профессиональный рост — бедный джун низведён до няньки при LLM’ке, и расти ему некуда. Кроме того, при активном внедрении ИИ резко падает занятость среди младших специалистов, и такими темпами через несколько лет некому будет становиться сеньорами. А все старые выгорят, уволятся, исчезнут в глуши, и индустрия останется обездоленной. В качестве решения предлагают наставничество: нанимайте джунов, обучайте джунов, берегите джунов, а ИИ-ффективность пускай подождёт. Когда топ-менеджеры помешанной на ИИ Microsoft публикуют такое, время задуматься. А что ты сделал сегодня для своего джуна, юзернейм?
@tomhunter
Проблема в асимметрии: пока опытный разраб с помощью ИИ-модели получает буст, у начинающего стопорится профессиональный рост — бедный джун низведён до няньки при LLM’ке, и расти ему некуда. Кроме того, при активном внедрении ИИ резко падает занятость среди младших специалистов, и такими темпами через несколько лет некому будет становиться сеньорами. А все старые выгорят, уволятся, исчезнут в глуши, и индустрия останется обездоленной. В качестве решения предлагают наставничество: нанимайте джунов, обучайте джунов, берегите джунов, а ИИ-ффективность пускай подождёт. Когда топ-менеджеры помешанной на ИИ Microsoft публикуют такое, время задуматься. А что ты сделал сегодня для своего джуна, юзернейм?
@tomhunter
🔥10😁6❤3🤡2👍1
#news Новости приближающегося киберпанкового будущего: Anthropic заявила, что китайские ИИ-компании похитили Клода. Точнее, незаконно скопировали: 16 миллионов запросов с 24 тысяч аккаунтов использовали для обучения собственных моделей.
В атаке обвинили пресловутую DeepSeek, Moonshot AI и MiniMax — они провели так называемые атаки дистилляции промышленных масштабов по Claude. Миллионы запросов использовали для воспроизведения функциональности — такой дистиллят позволяет обучать модельки гораздо дешевле и быстрее, чем собственными силами, но, конечно, запрещён ToS. Огоньку добавляет, что Anthropic — американская компания, и Китай у них прямо прописан как противник, а доступ к продуктам закрыт. В общем, новая территория на пересечении LLM, промышленного шпионажа и геополитики. У Стерлинга с Гибсоном это всё было гораздо романтичнее, но на то она и фантастика. В реальности же просто сидит китайский разраб и абьюзит API через проксю.
@tomhunter
В атаке обвинили пресловутую DeepSeek, Moonshot AI и MiniMax — они провели так называемые атаки дистилляции промышленных масштабов по Claude. Миллионы запросов использовали для воспроизведения функциональности — такой дистиллят позволяет обучать модельки гораздо дешевле и быстрее, чем собственными силами, но, конечно, запрещён ToS. Огоньку добавляет, что Anthropic — американская компания, и Китай у них прямо прописан как противник, а доступ к продуктам закрыт. В общем, новая территория на пересечении LLM, промышленного шпионажа и геополитики. У Стерлинга с Гибсоном это всё было гораздо романтичнее, но на то она и фантастика. В реальности же просто сидит китайский разраб и абьюзит API через проксю.
@tomhunter
😁13❤3🔥2👍1🤬1🤡1💯1
#news В новый день с новыми санкциями США, на этот раз тематическими. Под них попал брокер эксплойтов Operation Zero, связанные с ним компании, владелец и ещё пара интересных персонажей.
Приурочены санкции к посадке Питера Уильямса: сотрудник оборонного подрядчика в США украл данные по восьми мобильным нулевым дням и продал Operation Zero. За каждый эксплойт он отхватил примерно по году — посадили на 7 с небольшим лет. А их покупка подпала под защиту интеллектуальной собственности: эти эксплойты — кого надо эксплойты, и не в те руки попасть были не должны. То есть Operation Zero буквально прилетела саечка за копирайт. Санкционная. А вместе с ней и паре человек, по документам связанных с Trickbot — они проходят как имевшие рабочие связи с компанией. Такой вот примечательный коллаб. Как водится, никогда не спрашивай редтимера о подозрительных пробелах в его резюме. А уж брокеру эксплойтов тем более лучше лишних вопросов не задавать.
@tomhunter
Приурочены санкции к посадке Питера Уильямса: сотрудник оборонного подрядчика в США украл данные по восьми мобильным нулевым дням и продал Operation Zero. За каждый эксплойт он отхватил примерно по году — посадили на 7 с небольшим лет. А их покупка подпала под защиту интеллектуальной собственности: эти эксплойты — кого надо эксплойты, и не в те руки попасть были не должны. То есть Operation Zero буквально прилетела саечка за копирайт. Санкционная. А вместе с ней и паре человек, по документам связанных с Trickbot — они проходят как имевшие рабочие связи с компанией. Такой вот примечательный коллаб. Как водится, никогда не спрашивай редтимера о подозрительных пробелах в его резюме. А уж брокеру эксплойтов тем более лучше лишних вопросов не задавать.
@tomhunter
😁13👍3
#news Энтузиаст разработал приложение, сканирующее сигналы в окружении на наличие умных очков. Оно отслеживает характерные Bluetooth-сигнатуры и шлёт уведомление при обнаружении.
Приложение возникло как реакция на “неприемлемое вторжение в личную жизнь от ужасного устройства”. Умные очки уже неоднократно использовали для создания сомнительного контента, в Штатах они засветились у органов, а параллельно вендоры добавляют функциональность под распознавание лиц. Так что число желающих защититься от ужасных устройств растёт. Разраб предупреждает о ложноположительных, но идея в целом интересная и ещё, наверняка, получит своё развитие. И найдёт своё применение во многих сценариях — в случае визита любознательных гостей в фирму, например. Пока приложение под Android, в планах iOS-версия и расширить список устройств. Стянуть можно на GitHub.
@tomhunter
Приложение возникло как реакция на “неприемлемое вторжение в личную жизнь от ужасного устройства”. Умные очки уже неоднократно использовали для создания сомнительного контента, в Штатах они засветились у органов, а параллельно вендоры добавляют функциональность под распознавание лиц. Так что число желающих защититься от ужасных устройств растёт. Разраб предупреждает о ложноположительных, но идея в целом интересная и ещё, наверняка, получит своё развитие. И найдёт своё применение во многих сценариях — в случае визита любознательных гостей в фирму, например. Пока приложение под Android, в планах iOS-версия и расширить список устройств. Стянуть можно на GitHub.
@tomhunter
🔥8👍3❤2
#news У Cisco очередная десяточка по CVSS, но какая! CVE-2026-20127, обход аутентификации в Cisco Catalyst SD-WAN, активно эксплуатируемая — как минимум с 2023-го года. Всем десяточкам десяточка, Cisco никогда не подведёт.
Проблема в неработающей должным образом идентификации узлов в системе — злоумышленник может получить админ-права и двигаться по сети. Фундаментальный баг в логике аутентификации — это, конечно, не очередной неловкий сисько-косяк с санитизацией, но клиентам от этого не легче. Костылей нет, зато есть звоночки по телеметрии с эксплойтом в 2023-м. Кто годами тайком эксплуатирует нулевые дни, кто этот загадочный “highly sophisticated actor”? Известно кто. Так что и CISA, и другие западные ИБ-агентства дружно бьют тревогу: CISA спустила экстренный указ накатить патчи в течение двух дней и немедленно отчитаться по компрометации. Кому-то будет чем развлечься в томительном ожидании уикэнда.
@tomhunter
Проблема в неработающей должным образом идентификации узлов в системе — злоумышленник может получить админ-права и двигаться по сети. Фундаментальный баг в логике аутентификации — это, конечно, не очередной неловкий сисько-косяк с санитизацией, но клиентам от этого не легче. Костылей нет, зато есть звоночки по телеметрии с эксплойтом в 2023-м. Кто годами тайком эксплуатирует нулевые дни, кто этот загадочный “highly sophisticated actor”? Известно кто. Так что и CISA, и другие западные ИБ-агентства дружно бьют тревогу: CISA спустила экстренный указ накатить патчи в течение двух дней и немедленно отчитаться по компрометации. Кому-то будет чем развлечься в томительном ожидании уикэнда.
@tomhunter
😁8👍2🔥2
#news В Claude Code раскрыли пачку уязвимостей, от кражи API-ключей до RCE через хуки и внедрение кода с произвольными шеллами. Всё это реализуется через контролируемые злоумышленником репозитории; в статье видео с демо уязвимостей.
В одном случае репа с настройками, ведущими на вредоносный эндпоинт, сливает API-ключи жертвы — достаточно её открыть, и ключи улетают не по адресу, а вместе с ними и доступ к рабочей среде. Другая CVE также эксплойтит конфиг и позволяет выполнить код в обход подтверждения от юзера, клонировавшего вредоносную репу. Из плюсов, всё это ответственные раскрытия — уязвимости закрыли с сентября по январь. Но в сухом остатке всё ещё отличное напоминание, что дивный новый мир ИИ-агентов, живущих в вашей инфре с правами на выполнение кода — это гигантская поверхность для атак, хороших и разных. Кто прогуливал лекции для самых маленьких разработчиков из цикла “Удивительный мир инфобеза и я”, тот и проиграл.
@tomhunter
В одном случае репа с настройками, ведущими на вредоносный эндпоинт, сливает API-ключи жертвы — достаточно её открыть, и ключи улетают не по адресу, а вместе с ними и доступ к рабочей среде. Другая CVE также эксплойтит конфиг и позволяет выполнить код в обход подтверждения от юзера, клонировавшего вредоносную репу. Из плюсов, всё это ответственные раскрытия — уязвимости закрыли с сентября по январь. Но в сухом остатке всё ещё отличное напоминание, что дивный новый мир ИИ-агентов, живущих в вашей инфре с правами на выполнение кода — это гигантская поверхность для атак, хороших и разных. Кто прогуливал лекции для самых маленьких разработчиков из цикла “Удивительный мир инфобеза и я”, тот и проиграл.
@tomhunter
👍5🔥4🤡3❤2😁1
#news Большие новости для индустрии спайвари, и не очень радостные (для неё): в Греции осудили основателя и трёх управляющих Intellexa, разработчика спайвари, за слежку за политиками и журналистами. И всем выписали солидные сроки.
Под суд отправились основатель фирмы и трое партнёров — каждый получил срок в 126 лет и 8 месяцев! Но это просто особенности греческого правосудия: на деле им предстоит отсидеть по 8 лет, плюс в силу местной специфики обвиняемые остаются на свободе, пока идёт апелляция. Но само по себе дело беспрецедентное: разработчик спайвари приговорён к реальному (и серьёзному) сроку за злоупотребление шпионским ПО. Так что по всему миру напряглись их коллеги, почуяв, куда ветер дует. И только Paragon с NSO ехидно улыбаются из-за израильской спины: спайварь под МинОбром Израиля — это не игры в независимость самой Intellexa: этих уважаемых отпрысков Unit 8200 просто так не посадишь.
@tomhunter
Под суд отправились основатель фирмы и трое партнёров — каждый получил срок в 126 лет и 8 месяцев! Но это просто особенности греческого правосудия: на деле им предстоит отсидеть по 8 лет, плюс в силу местной специфики обвиняемые остаются на свободе, пока идёт апелляция. Но само по себе дело беспрецедентное: разработчик спайвари приговорён к реальному (и серьёзному) сроку за злоупотребление шпионским ПО. Так что по всему миру напряглись их коллеги, почуяв, куда ветер дует. И только Paragon с NSO ехидно улыбаются из-за израильской спины: спайварь под МинОбром Израиля — это не игры в независимость самой Intellexa: этих уважаемых отпрысков Unit 8200 просто так не посадишь.
@tomhunter
🔥6😁5👍1
#news У Veracode свежий отчёт по состоянию безопасности софта — State of Software Security 2026. Выводы местами неутешительные: объёмы рискованного кода растут, а вместе с ними и число серьёзных уязвимостей. А драйвер изменений — это, конечно же, ИИ.
Число организаций с security debt выросло на 11 процентов, критические долги сразу на 20%, а число уязвимостей с высокой оценкой сразу на 36%. Что не выросло?Надежды на завтра. Рост приписывают к фундаментальному напряжению в среде: код пушат в прод с рекордными скоростями, и всё это подпитывают LLM’ки и автоматизированные пайплайны. А вот починка багов отстаёт, и большая часть бизнеса сидит на критических CVE, не успевая их править. Исследователи грустно констатируют, что скорость разработки в эпоху ИИ делает безопасность недостижимой, пропасть растёт, и нужны глубокие изменения. Так-с, ближайшие три спринта у нас уже расписаны по часам, обсудим эту темку позже, какой эстимейт по релизу?
@tomhunter
Число организаций с security debt выросло на 11 процентов, критические долги сразу на 20%, а число уязвимостей с высокой оценкой сразу на 36%. Что не выросло?
@tomhunter
😁7👍2
#news Уроки реал-политик от мира LLM’ок: после отказа Anthropic снять ограничения на работу модели для Пентагона, компанию решили объявить “Угрозой цепочке поставок”. К дискуссии подключился бойкий оранжевый дед, и началось.
“США никогда не позволит радикально левой, воук-компании диктовать, как наша великая военка воюет и побеждает в войнах” — пишет Трамп капслоком. Следом Минобр требует признать компанию угрозой и немедленно закрыть все контракты. Кто пропустил, формально всё это произошло на фоне отказа Anthropic снимать ограничения для массовой слежки и разработки оружия, указывая, что искусственный болванчик к такой ответственности не готов. А кто мгновенно предложил занять роль Anthropic? Конечно же, OpenAI. В будущей гонке ИИ, как считают футурологи, победят самые беспринципные модельки. А пока в её преддверии побеждают самые беспринципные компании. Се ля ви!
@tomhunter
“США никогда не позволит радикально левой, воук-компании диктовать, как наша великая военка воюет и побеждает в войнах” — пишет Трамп капслоком. Следом Минобр требует признать компанию угрозой и немедленно закрыть все контракты. Кто пропустил, формально всё это произошло на фоне отказа Anthropic снимать ограничения для массовой слежки и разработки оружия, указывая, что искусственный болванчик к такой ответственности не готов. А кто мгновенно предложил занять роль Anthropic? Конечно же, OpenAI. В будущей гонке ИИ, как считают футурологи, победят самые беспринципные модельки. А пока в её преддверии побеждают самые беспринципные компании. Се ля ви!
@tomhunter
😁9👍6🤬3❤2🤡1
#news В OpenClaw закрыли серьёзную уязвимость, позволяющую брутфорсить пароли на локальных инстансах. В Microsoft не шутили, говоря, что с ИБ у Openclaw всё плохо: его шлюз по умолчанию цеплялся к localhost и оставлял открытым WebSocket.
У самого OpenClaw лимиты от брутфорса есть, а вот localhost в исключениях, чтобы локальные сессии по ошибке не отвалились. И браузер стучит по нему через WebSocket без ограничений. В сценарии атаки вредоносный сайт может запустить атаку по агенту и перебрать словарь за пару минут, и, соответственно, зарегистрировать доверенное устройство. Разраб уязвимость признал и оперативно закрыл за сутки — фикс в версии от 26 февраля. Но тот факт, что на дворе 2026-й, а менеджер паролей с генератором всё ещё остаётся недостижимой мечтой, многое говорит о нашем обществе. Как и незакрытый стук по локалхосту. Видео с демо уязвимости здесь.
@tomhunter
У самого OpenClaw лимиты от брутфорса есть, а вот localhost в исключениях, чтобы локальные сессии по ошибке не отвалились. И браузер стучит по нему через WebSocket без ограничений. В сценарии атаки вредоносный сайт может запустить атаку по агенту и перебрать словарь за пару минут, и, соответственно, зарегистрировать доверенное устройство. Разраб уязвимость признал и оперативно закрыл за сутки — фикс в версии от 26 февраля. Но тот факт, что на дворе 2026-й, а менеджер паролей с генератором всё ещё остаётся недостижимой мечтой, многое говорит о нашем обществе. Как и незакрытый стук по локалхосту. Видео с демо уязвимости здесь.
@tomhunter
🤡8🔥3❤2👍2😁1🤬1
#news Уроки криптофинансовой грамотности от южнокорейских чиновников: местная налоговая выложила фото с рейда по уклоняющимся от уплаты налогов. И на фото была сид-фраза от кошелька. Что стало с $4,8 миллионами на нём? Загадочным образом исчезли.
На фотографии засветились холодные кошельки и услужливо разложенные рядом бумажечки с непонятными словами. Отредактировать их забыли, и вскоре после публикации средства испарились: злоумышленник закинул эфира для комиссии и вывел токены. Местные блокчейн-аналитики от такого, конечно, в восторге, но реагируют сдержанно: “У налоговиков отсутствует базовое понимание криптовалют”. Последние, впрочем, извинились и признали вину: говорят, всё это целиком на них — что было на фото, не поняли. Такое вот столкновение новых денег со старой налоговой. А в это время в соседней антиутопии за кордоном бессменный лидер ночью проснулся от счастливого, доброго смеха апэтэшных криптанов.
@tomhunter
На фотографии засветились холодные кошельки и услужливо разложенные рядом бумажечки с непонятными словами. Отредактировать их забыли, и вскоре после публикации средства испарились: злоумышленник закинул эфира для комиссии и вывел токены. Местные блокчейн-аналитики от такого, конечно, в восторге, но реагируют сдержанно: “У налоговиков отсутствует базовое понимание криптовалют”. Последние, впрочем, извинились и признали вину: говорят, всё это целиком на них — что было на фото, не поняли. Такое вот столкновение новых денег со старой налоговой. А в это время в соседней антиутопии за кордоном бессменный лидер ночью проснулся от счастливого, доброго смеха апэтэшных криптанов.
@tomhunter
😁9❤3👍1🔥1
#news У Amazon снова пошли в отказ дата-центры, но проблема в этот раз прозаичная и ловлей багов в DNS не правится: дата-центры разбомбили — два в ОАЭ и один в Бахрейне. Из-за “физического воздействия” дронов прилегли me-central-1 и me-south-1.
Повреждения в ОАЭ серьёзные: по инфраструктуре прилетело напрямую, возник пожар, и тушение дополнительно повредило оборудование. Бахрейну повезло больше — там просто отключилась электроэнергия от прилёта рядом. Восстановление идёт, но между строк стандартного корпоспика отчётливо считывается: “Бегите, глупцы!” В сегодняшнем послании клиентам уже прямым текстом настойчиво рекомендуют мигрировать свои сервисы в регионы поспокойнее и на скорое возвращение нормальной работы не рассчитывать. К такому дубайских стартаперов, инфоцыган от мира крипты и прочую местную экзотическую фауну жизнь, конечно, не готовила.
@tomhunter
Повреждения в ОАЭ серьёзные: по инфраструктуре прилетело напрямую, возник пожар, и тушение дополнительно повредило оборудование. Бахрейну повезло больше — там просто отключилась электроэнергия от прилёта рядом. Восстановление идёт, но между строк стандартного корпоспика отчётливо считывается: “Бегите, глупцы!” В сегодняшнем послании клиентам уже прямым текстом настойчиво рекомендуют мигрировать свои сервисы в регионы поспокойнее и на скорое возвращение нормальной работы не рассчитывать. К такому дубайских стартаперов, инфоцыган от мира крипты и прочую местную экзотическую фауну жизнь, конечно, не готовила.
@tomhunter
🔥9😁4👍1🤯1
#news Председатель Объединённого комитета начальников штабов США заявил о роли киберкомандования в операции. Оно нарушило работу иранской связи и сенсоров и было одним из первых подразделений, задействованных ходе боевых действий.
Киберкомандование США вместе с Космокомом поддерживали операцию и оставили противника без связи и координации на местах. Редкое публичное признание роли кибервойск от высшего армейского чина, между прочим. Параллельно Израиль утверждает, что у них годами был доступ ко всем дорожным камерам в Тегеране, и слежка с них сыграла беспрецедентную роль в сборе разведданных и планировании атак. В частности, информацию с камер использовали для координации удара по руководству страны, а новые алгоритмы позволили провести точный анализ маршрутов. Израиль в 2023-м и сам столкнулся с последствиями взлома частных камер. Так что кибервойны играют всё большую роль в современных военных действиях.
@tomhunter
Киберкомандование США вместе с Космокомом поддерживали операцию и оставили противника без связи и координации на местах. Редкое публичное признание роли кибервойск от высшего армейского чина, между прочим. Параллельно Израиль утверждает, что у них годами был доступ ко всем дорожным камерам в Тегеране, и слежка с них сыграла беспрецедентную роль в сборе разведданных и планировании атак. В частности, информацию с камер использовали для координации удара по руководству страны, а новые алгоритмы позволили провести точный анализ маршрутов. Израиль в 2023-м и сам столкнулся с последствиями взлома частных камер. Так что кибервойны играют всё большую роль в современных военных действиях.
@tomhunter
👍5🔥3🎉1